Ci sono buoni motivi per disabilitare la virtualizzazione assistita da hardware?

25

Recentemente abbiamo ricevuto numerosi server da Dell, che hanno disabilitato la virtualizzazione assistita dall'hardware nel BIOS.

Per quanto ne so, la virtualizzazione assistita dall'hardware è una buona cosa, quindi perché Dell la disabiliterebbe? Ha un sovraccarico prestazionale se la macchina non agisce come host di macchina virtuale? Ci sono problemi di sicurezza?

Nel caso in cui sia rilevante per le tue risposte, utilizzeremo principalmente:

  • Sistema operativo host: Windows Server 2003 Enterprise R2 (32 bit)
  • Sistema operativo guest: Windows Server 2003 Enterprise R2 (32 bit)
  • VMM: Virtual Server 2005 Enterprise R2 SP1
security  virtualization  performance  dell 
Tom Robinson
fonte
L'ho visto anche con i laptop Dell
Richard Everett, il
Ho pubblicato qualcosa di simile l'altro giorno riguardo ai server blade HP - non riuscivo a capire perché anche loro lo disabilitassero per impostazione predefinita - non è dannatamente irritante!
Chopper3,
Puoi aggiungere un link? Non sono riuscito a trovare domande simili quando ho cercato.
Tom Robinson,
È stata una bella domanda serverfault.com/questions/23518/…
Kara Marfia,
3
C'è una ragione universale per disabilitare nuovamente i sistemi / le funzioni complesse: aggirare i bug. In questo caso particolare conosco almeno uno di questi bug. Vedi il numero 734 nella "Guida di revisione per i processori della famiglia AMD 15h modelli 00h-0Fh".
ndemou,

Risposte:

16

Il motivo per cui Dell (e Sony ecc.) Disabilitano Intel-VT e AMD-V è che non possono supportarlo. Abilitare la funzione significherebbe che dovrebbero fornire supporto su di essa, cosa che semplicemente non può fare, principalmente a causa dell'insufficiente conoscenza del supporto tecnico.

Questo è, almeno, il modo in cui Sony lo ha formulato.

Ho provato a indovinare la ragione dai ragazzi dell'assistenza Sony e questa è l'unica cosa che mi darebbero. Alla fine sono stato in grado di patchare il mio BIOS e abilitare VT personalmente.

Per il resto, cose come Bluepill non sono esattamente mainstream. E per quanto ne so - e io lavoro con la virtualizzazione roba un sacco - non v'è alcun aspetto negativo di abilitarlo. Se ci fosse, mi piacerebbe davvero saperlo ...

wzzrd
fonte
All'inizio ho dubitato di questa risposta. E so che questo post è estremamente vecchio, ma stavo facendo delle ricerche e questa è stata la prima cosa che ho trovato su Google. Questo è in realtà corretto al 100%, in quanto si tratta di un problema di supporto. Molte persone (ad oggi) non dovranno patchare il loro BIOS. I venditori vendono generalmente apparecchiature server e client allo scopo di installare un sistema operativo nativo, non un hypervisor. Per questo motivo, disabilitano VT / VTx al fine di evitare alcuni degli strani problemi che possono teoricamente causare. Più specificamente, i fornitori non vogliono passare il tempo a testare funzionalità che non supportano.
IceMage,
10

Un ottimo motivo è la sicurezza. Esistono hack noti che inseriscono un hypervisor dannoso tra il sistema operativo e l'hardware. Ciò consente a chiunque di acquisire qualsiasi dato in modo perfettamente trasparente.

Antoine Benkemoun
fonte
2
Stai pensando a un rootkit come BluePill. Anche se non ho esaminato questo aspetto in dettaglio, penso che al giorno d'oggi questo non sia più un problema. Potrei sbagliarmi, puoi solo cercare, suppongo. Buona aggiunta in entrambi i casi, sicuramente qualcosa da considerare e un motivo sufficiente per disabilitarlo se non viene utilizzato.
HannesFostie,
2
Ecco alcune ulteriori informazioni su BluePill - en.wikipedia.org/wiki/Blue_Pill_(malware)
Tom Robinson,
1
@Anapologetos, no in realtà, non è un pre-req. La pillola blu intrappola il sistema operativo in esecuzione in una macchina virtuale. Si inserisce sotto il sistema operativo, per così dire. Si diventa un hypervisor piuttosto che necessitano di uno. A parte questo, secondo Wikipedia, riguardava solo Vista, ma suppongo che il concetto potesse essere facilmente trasportabile. La virtualizzazione, dopo tutto. Comunque, non abilitare VT a causa di Blue Pill sembra piuttosto sciocco: non è allo stato selvatico per quanto ne so (anche se è open source) e la sua non rilevabilità è discussa.
wzzrd,
Hai ragione, wzzrd. Ritiro il mio commento: non ho ancora preso il caffè stamattina! :)
Josh Brower,
6

Immagino che non tutte le CPU disponibili per una determinata scheda madre e combinazione BIOS supportino le estensioni VT. Quindi lo spediscono come disabilitato nel BIOS per motivi di compatibilità.

I tempi stanno cambiando e VT sta diventando un luogo abbastanza comune ora. Quindi forse vedremo un cambiamento?

Dan Carley
fonte
3

L'ho trovato su The Register :

Gli ingegneri di Sony e gli addetti al controllo qualità erano: "Molto preoccupati del fatto che abilitare VT esporrebbe i nostri sistemi a codice dannoso che potrebbe andare molto in profondità nella struttura del sistema operativo del PC e disabilitare completamente quest'ultimo".

Tom Robinson
fonte
Non dovrebbe essere questa la risposta accettata? Oh , le parole appartengono a Sony .......
Pacerier,
2

A seconda del metodo di virtualizzazione che si intende utilizzare, potrebbe non essere necessario abilitare le attività di virtualizzazione hardware nelle CPU compatibili con Intel-VT e AMD-V. Quando è necessario utilizzare queste funzionalità è quando il metodo di virtualizzazione non è in grado di funzionare durante l'installazione di sistemi operativi non modificati, in genere Microsoft Windows.

Quando si lavora con VMware, le funzionalità di virtualizzazione dell'hardware aggiunte dai chipset Intel-VT e AMD-V non sono in genere necessarie poiché VMware fornisce tutte le funzionalità necessarie al suo interno e può portare a prestazioni degradate del server virtuale stesso.

Con la virtualizzazione Xen dovrai utilizzare queste funzionalità se intendi eseguire Windows all'interno dei domini guest non privilegiati (domU) e installarlo utilizzando la virtualizzazione completa anziché la para-virtualizzazione. Nella mia esperienza, il fatto di dover abilitare queste funzionalità può mostrare un significativo peggioramento delle prestazioni, anche se comunque consentirà di installare Windows. Altri sistemi operativi come Linux, * BSD e OpenSolaris non ho avuto problemi con l'installazione senza virtualizzazione hardware e vedo un miglioramento molto migliore quando le funzionalità di virtualizzazione hardware sono disabilitate.

Alla fine si riduce a quale percorso di virtualizzazione stai pianificando di intraprendere e quali sistemi operativi che vedi essere installati che possono essere il fattore determinante per lasciarlo disabilitato o andare avanti e abilitarlo.

Jeremy Bouse
fonte
Non sta prendendo alcun percorso di virtualizzazione, in un certo senso ha perso il punto della sua domanda
HannesFostie,
2

Avendo lavorato nel supporto server Dell, tutti i server VT compatibili hanno la funzione disabilitata nel BIOS per impostazione predefinita, ma è facile abilitarla se ne hai bisogno.

Per quanto riguarda Sony, lo hanno disabilitato nei laptop, per i motivi sopra indicati.

Non ho mai visto un server con funzionalità VT / SVM disabilitate completamente, al punto da non poterlo abilitare.

dyasny
fonte
1

Potrei essere dietro i tempi, ma in molti casi con cose come VMWare in realtà rende molte cose più lente:

Libro bianco VMWare sull'argomento

Kyle Brandt
fonte
Non è quel white paper del 2006? Inoltre, discute gli aspetti negativi quando in realtà virtualizza un ambiente da quello che potrei dire a prima vista. Il poster originale eseguirà solo carichi di lavoro nativi su di esso.
HannesFostie,
Ho notato con VirtualBox che alcuni sistemi operativi funzionano molto più velocemente se la virtualizzazione hardware è disabilitata. Certo, altri corrono molto più velocemente con l'abilitazione! :-)
Brian Knoblauch,
non dice che l'attivazione di VT rende le cose più lente, dice che la loro virtualizzazione non VT è più veloce di quelle nuove dipendenti da VT.
Javier,
1

Come sopra menzionato da wzzrd, tutto ha a che fare con il supporto. Lasciare VT disattivato riduce il numero di scenari di supporto in cui VT diventa un fattore, consentendo una risoluzione dei problemi più rapida per la maggior parte dei clienti che non si sono avventurati lungo il percorso di virtualizzazione.

Una cosa che ho notato è che in Windows 7, l'esecuzione della modalità xp beta provoca conflitti con la workstation vmware quando VT è abilitato sul mio Dell. Entrambi vogliono "ottenere" l'estensione VT e poiché la modalità xp lascia un processo VPC in esecuzione anche dopo essere uscito, non "lascia andare" il VT. Quindi quando avvii vmware, qualsiasi macchina virtuale che provi ed esegui muore all'avvio. La disabilitazione dell'estensione VT nel BIOS impedisce che ciò accada, ma con prestazioni notevolmente ridotte.

Questa è una discussione piuttosto strana. Che ne dici delle chiamate delle persone che si lamentano della sua disattivazione?
niXar,
0

Abilitare Intel VT rende la CPU più calda, ho avuto un desktop e un laptop che hanno avuto questo comportamento, entrambi con dispositivi di raffreddamento della CPU di serie. Mi riferisco ai computer domestici ma è la stessa funzione.

So che AMD-V viene abilitato per impostazione predefinita, ma non so se rende la CPU più calda.

Andrei Silviu Canghizer
fonte
Dubito che sia vero. Non vedo alcun motivo per cui un carico di lavoro identico avrebbe una differenza misurabile nel consumo di energia a seconda che VT sia abilitato. Alcuni software si comporteranno in modo diverso a seconda che VT sia abilitato e, naturalmente, ciò può modificare il carico di lavoro sulla CPU e causare un cambiamento della temperatura. Ma VT non può essere biasimato per questo a meno che non possano essere fornite prove molto forti.
Kasperd
-1

Sono abbastanza sicuro che la virtualizzazione assistita da hardware NON presenti alcun sovraccarico quando si esegue solo un sistema operativo nativo.

L'unico motivo che mi viene in mente per la possibilità di disabilitarlo (in realtà non ci ho mai pensato prima) è che alcune applicazioni / carichi di lavoro potrebbero effettivamente peggiorare quando l'HAV è abilitato rispetto a quando eseguito in modo nativo, a causa di un certo sovraccarico nella MMU per esempio.

Non me ne preoccuperei affatto.

HannesFostie
fonte
Antoine Benkemoun ha fatto un'ottima osservazione, per favore leggi anche il suo post.
HannesFostie,
-2

Dai un'occhiata a Hewlett Packard Proliant DL145 G3 - Server.

HP ha disabilitato HyperVisor (HV) dal BIOS. Il menu BIOS non mostra un'opzione per abilitare questa funzione. L'unica risposta alle domande su questo problema è "questa piattaforma non supporta la virtualizzazione hardware - fine della discussione"

È semplicemente impossibile abilitare HV con il BIOS fornito da HP.

L'unica soluzione: Coreboot ... ovvero eliminare completamente il BIOS PHOENIX da queste schede e sostituirlo con qualcosa di diverso ...

wonea
fonte
1
-1 La domanda non riguarda i sistemi in cui HV non è completamente disponibile nel BIOS. Si tratta del motivo per cui viene spedito disabilitato, anche se è disponibile.
sleske,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.